Azure Managed Service Column <Azure運用コラム>

Azure AD(Azure Active Directory)を活用して実現する複数アプリケーションの統合認証環境

Category: 実践編

2022.01.13

Azure ADのセキュアに認証連携するための方法をご紹介!

近年様々なクラウドサービスやアプリケーションが利用されるようになりました。従来からのオンプレミス環境を残しながら、クラウドサービスとのハイブリッド環境で運用する企業も増えています。

普段何気なく行うログインという行為ですが、IDとパスワードはどのように管理していますか?ハイブリッド環境ではオンプレミスのシステム、クラウドサービスなどログイン対象のアプリケーションは多岐に渡ります。それぞれにログインIDとパスワードを使い分けるとなると管理が煩雑になります。システム管理者によってパスワードの期限を定め、変更を促すこともできますが、パスワードは原則個人管理です。推測されやすい脆弱なパスワードを使い回すことで、不正ログイン、なりすましなどの被害も報告されています。

そこで本記事ではシンプル且つ安全に複数のアプリケーションを利用するために、Azure ADを活用し複数のシステムの認証環境を統合する方法について解説します。

1. Azure ADの基礎知識

Windows95発売以降、インターネットの普及に伴い、様々な組織において複数のパソコンが接続されるネットワークが構築されました。このネットワーク内でアクセス管理を担っていたのが、Microsoftが開発したActive Directoryです。Active Directoryはオンプレミス 環境で運用されるシステムでADと略されることもあります。

ではクラウド環境で提供されるAzure ADとはどのような機能を持ち、どのような違いがあるのでしょうか。まずはAzure ADの基礎知識を簡単に解説します。

Azure ADとは

Azure ADとは、マイクロソフトが提供するクラウド型の ID 管理サービスです。一般的にIDaaS(Identity as a Service)に分類されます。シングルサインオン(Single Sign-On)、ID、パスワードの認証、多要素認証、パターンマッチングの認証、条件付きアクセスなど認証に関連する基本的なセキュリティを実現できるクラウドサービスです。Microsoft365 を利用している場合は、バックグラウンドで Azure AD が利用されています。

オンプレミスActive Directoryとの違いとは

オンプレミスActive DirectoryとAzure ADを比較すると、認証やID管理という根本的な機能は共通ですが、接続経路、利用範囲、認証の仕組みが大きく異なります。

オンプレミスActive Directory

オンプレミスActive Directoryは、冒頭にも記載した通りインターネットが普及したWindows95発売以降に開発されWindows2000Serverから導入されました。
当時、クラウドサービスなどは存在せず、組織内ネットワークから接続し、ユーザー管理は組織単位で行うことが前提でした。そのため認証に用いられるプロトコルはKerberos(ケルベロス)認証というユーザーとサーバ間の2者間を前提とした認証技術が利用されます。

Azure AD

Azure ADは、クラウドのサービスへのログインを認証するために、接続経路としてインターネット経由で認証情報の問い合わせ通信を行います。利用範囲は広く、組織内に限定せず、あらゆる場所から認証を行うことができます。
認証技術はSAML(Security Assertion Markup Language)というがプロトコル(通信規約)利用されます。SAMLはMicrosoft 365以外にも様々なクラウドサービスと連携することもできるプロトコルです。このようにクラウドサービス、ユーザー、他のIDサービスプロバイダーの3者間と認証情報を共有することを前提とした認証技術が利用されます。

このようにオンプレミスActive DirectoryとAzure ADは基本機能における共通項はありますが、オンプレミス、クラウドという大前提に大きな違いがあると言えるでしょう。

Azure ADは、オンプレミスActive Directoryとも連携が可能ですので、認証環境を統合し一元的に管理・運用することが可能です。

2. Azure ADで連携可能な機能

Azure ADと認証環境を統合することで、Azure ADによる一度の認証で様々な連携先のシステムにログインすることが可能となります。ユーザーが管理するIDとパスワードは原則一つとなり、管理の負担が削減できます。この機能はシングルサインオンと呼ばれ、IDaaSの要となる機能です。ではどのようなシステムと連携可能なのでしょうか。Azure ADで認証を統合しシングルサインオンするための連携について解説します。

SaaSアプリケーション認証の連携

Azure ADでは、登録されているユーザーに対して、どのSaaSアプリケーションの認証を連携させるか設定することができます。ちなみにSaaSアプリケーションとはSoftware as a Serviceの略です。インターネットを通じて利用するクラウドサービス全般とお考えください。

対象となるアプリケーションはAzure ADギャラリーに記載されたアプリケーションであればすぐに設定が可能です。既に多くのアプリケーションがギャラリーに登録されています。有名なアプリケーションはほぼ網羅されていますが、ギャラリーに属していないベンダーのサードパーティアプリケーションは使用許諾契約書に応じて追加することも可能です。

※1 参考:SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル

オンプレミスアプリケーション認証の連携

従来、オンプレミス環境との連携ではサイト間VPNなど、通信経路を確保する必要がありました。しかし、Azure ADはVPNなど従来のソリューションに依存することなく利用できます。

Azure ADアプリケーションプロキシ機能を利用することで外部から組織内(社内)オンプレミスのアプリケーションへ認証情報を転送することができます。
これはAzureより提供されるプロキシコネクタを社内のサーバーにインストールし、Azure ADとの間でセッションを確立します。クライアントからの認証要求はAzure ADで行われ、その結果をプロキシコネクタで受け取り社内のシステムに転送します。

この機能はTCP443ポートの通信となるため、既存のファイアウォールやアプリケーションに殆ど改修や変更が生じない点も大きなメリットと言えるでしょう。

オンプレミスActive DirectoryとAzure ADのアカウント連携

オンプレミスActive Directoryで管理しているアカウントを同期して、同じアカウントをAzure ADで利用することができます。

Azure AD Connectサーバーを別途オンプレミス環境に構築し、このConnectサーバーを経由させてAzure ADに共有する仕組みです。パスワードのリセットなど認証情報に変更が生じた場合も、Connectサーバーを経由して反映されるので一元的な管理が可能です。

このように様々な環境と連携できることがおわかりいただけたと思います。オンプレミス との連携においてはシステムの変更が必要です。詳細はMicrosoftのドキュメントをご参照ください。

※2 参考:Azure AD アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス

※3 参考:Azure AD Connect とは

3. Azure ADで利用できる認証の強化機能

ここまで、Azure ADと様々なSaaSアプリケーション、オンプレミスとの連携について紹介しました。連携したアプリケーションに対し、シングルサインオンが実現することで管理の負荷を削減することができます。

しかし、認証において安全性は問題ないでしょうか?シングルサインオンは一度のログインで様々なアプリケーションにログインすることができてしまいます。
従来のIDとパスワード認証だけでは、昨今の企業のセキュリティ要件を満たすことはできないでしょう。そこでAzure ADの認証を強化できる機能を紹介します。

多要素認証

多要素認証は、IDとパスワード以外に、メールアドレス、ソフトウェアトークン、携帯電話などへのコード送信しそのコードを入力する、指紋などのバイオメトリックスキャンなど、ログインプロセスに本人しか知り得ない確認情報を追加で求めるログイン方法です。

複数の認証形式は不正ログインに用いられるような推測、複製が困難であるため、セキュリティが向上します。

条件付きアクセス

Azure ADの条件付きアクセスは、アクセスしてきたユーザーが割り当て条件に合致するかを判断し、合致するものにアクセス制御条件が付与される機能です。

割り当て条件として、ユーザーのIPアドレス、デバイスOS、どのアプリケーションにログインしようとしているのか、ログイン試行回数など様々な条件を指定することが可能です。この機能はAzure AD Premium P1 ライセンスが必要です。詳しくは公式サイトでご確認ください。

※4 参考:Azure ADの価格

デバイス管理

条件付きアクセス機能の中で、デバイスの情報や状態に基づき、許可された端末のみログオンさせることが可能です。例としてWindows Update等の更新状態や、違反アプリケーションがインストールされていないか、セキュリティソフトが更新されているかなど、デバイスが安全なものだけログインを許可することができます。また条件に一致した場合に多要素認証を求めるなどの、認証方法のアクションを要求することもできます。

これらのデバイス情報は各デバイスにインストールされたMicrosoft Intuneにより提供されます。これは、Microsoft365のライセンスに含まれる機能です。詳しくは公式サイトでご確認ください。

※5 参考:Microsoft Intuneのライセンス

4. まとめ

本記事では、Azure ADを活用し、様々なアプリケーションとの連携、オンプレミスActive directoryとの連携することで実現できる統合認証環境と、セキュリティ機能について紹介しました。

年々クラウドサービスは市場が拡大し、一般的に普及していますが、企業利用としてはオンプレミス とのハイブリッド環境がまだまだ多い状況です。だからこそ、認証機能を統合することで効率的な運用を目指したいところです。是非専門家の支援を受けながら、導入をご検討されることを推奨いたします。まずはお気軽にご相談ください。

Azure設計・構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Azure Active Directory Azure AD

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php